數(shù)據(jù)庫服務(wù)器成黑客最愛 7成攻擊針對(duì)企業(yè)數(shù)據(jù)
原創(chuàng)【51CTO.com快譯6月22日外電頭條】如今頂尖的黑客一定都是頂尖的商人!因?yàn)樗麄兊脑u(píng)估記錄上會(huì)寫著哪些目標(biāo)最簡單,哪些目標(biāo)最有利可圖。現(xiàn)在,可能沒有比笨拙的企業(yè)數(shù)據(jù)庫更好對(duì)付的目標(biāo)了。
一般來說,企業(yè)的數(shù)據(jù)庫中匯集著這家公司最重要的機(jī)密:客戶名單、工資記錄、以及其他許多按照良好結(jié)構(gòu)儲(chǔ)存的敏感信息,這些都是最容易賣出好價(jià)錢的。何況數(shù)據(jù)庫的管理員們往往不會(huì)想在安全性上精益求精,而且數(shù)據(jù)庫本身常常和網(wǎng)絡(luò)應(yīng)用聯(lián)系在一起,這些都已經(jīng)被證明是企業(yè)數(shù)據(jù)庫屢遭破解的原因。
在Verizon Business的年度計(jì)算機(jī)破壞報(bào)告中,調(diào)查小組報(bào)告說,在2008年的數(shù)據(jù)丟失案中,數(shù)據(jù)庫破壞占據(jù)了30%。更糟糕的是,在數(shù)據(jù)入侵的統(tǒng)計(jì)中,數(shù)據(jù)庫入侵高達(dá)75%(參見下圖)。由于敏感信息往往是儲(chǔ)存在一個(gè)單獨(dú)的數(shù)據(jù)庫中,一次簡單的入侵就可能導(dǎo)致企業(yè)遭受重大損失。
數(shù)據(jù)來源:Verizon 2009數(shù)據(jù)破壞調(diào)查報(bào)告,基于2008年2億8500萬次累計(jì)攻擊數(shù)據(jù)
制圖:51CTO.com安全頻道
“認(rèn)真研究一下,你會(huì)發(fā)現(xiàn)安全威脅在很大比例上都來自于數(shù)據(jù)庫,”企業(yè)安全咨詢公司Securosis創(chuàng)始人兼分析師Rich Mogull說。還有大多數(shù)的信息安全管理員都是在IT網(wǎng)絡(luò)背景下成長起來,對(duì)數(shù)據(jù)庫技術(shù)并不了解太多,他另外說到。最近Forrester Research的研究也發(fā)現(xiàn),大多數(shù)數(shù)據(jù)庫管理員僅花費(fèi)不到5%的時(shí)間來保證數(shù)據(jù)庫的安全。
“我要說的是,在我就安全性問題開會(huì)的時(shí)候,三次里至少有兩次數(shù)據(jù)庫方面的人不來參加,”Gartner的信息安全和隱私研究主管Jeffrey Wheatman說。“我認(rèn)為這是一個(gè)大問題,因?yàn)楫?dāng)你要對(duì)一個(gè)不太明白的東西進(jìn)行監(jiān)測或要保證它的安全,你需要請一位這方面的專家來幫助你。”
此前,51CTO.com也曾刊載專家分析文章稱,由于企業(yè)數(shù)據(jù)庫系統(tǒng)用戶眾多,涉及數(shù)據(jù)庫管理員、內(nèi)部員工及合作方人員等,網(wǎng)絡(luò)管理非常復(fù)雜,數(shù)據(jù)庫的審計(jì)已經(jīng)成為燃眉之急。
許多數(shù)據(jù)庫的安全漏洞僅僅是由簡單的安全工作失誤造成的。在2008年的調(diào)查中,IOUG(the Independent Oracle Users Group,獨(dú)立Oracle用戶組織)發(fā)現(xiàn),有26%的企業(yè)安裝Oracle數(shù)據(jù)庫的安全補(bǔ)丁的時(shí)間超過了6個(gè)月,而有11%的企業(yè)竟然從來沒有給它們打補(bǔ)丁。“生產(chǎn)數(shù)據(jù)庫(production database)往往不能在第一時(shí)間得到最新的補(bǔ)丁,因?yàn)檫@些數(shù)據(jù)庫服務(wù)器的訪問非常繁忙,人們會(huì)說‘只要不出大問題,就不要去修補(bǔ)它’!”漏洞評(píng)估公司QuietMove的合伙人Adam Muntner說。
企業(yè)經(jīng)常會(huì)犯一些錯(cuò)誤,這使數(shù)據(jù)庫變得更加脆弱,比如將測試數(shù)據(jù)庫留在生產(chǎn)服務(wù)器上,或者把敏感數(shù)據(jù)鏈接到網(wǎng)絡(luò)應(yīng)用中,這就有可能被黑客輕松竊取。“我認(rèn)為數(shù)據(jù)庫面臨的最大威脅就是與網(wǎng)絡(luò)應(yīng)用相鏈接和其中的業(yè)務(wù)邏輯漏洞,”Muntner說。
與網(wǎng)絡(luò)應(yīng)用密切聯(lián)系會(huì)使數(shù)據(jù)庫容易遭受SQL注入攻擊——這個(gè)問題51CTO.com安全頻道曾專門討論過,指攻擊者輸入SQL代碼形式的字符串到網(wǎng)絡(luò)應(yīng)用的薄弱區(qū)域。他們可以襲擊連接到特定網(wǎng)絡(luò)應(yīng)用的數(shù)據(jù)庫,也可以使用網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫之間的鏈接,對(duì)整個(gè)數(shù)據(jù)庫服務(wù)器發(fā)起更廣泛的攻擊。跟據(jù)IBM的ISS X-Force安全研究團(tuán)隊(duì)報(bào)告,SQL注入攻擊在去年成為因特網(wǎng)最常見的針對(duì)基于數(shù)據(jù)庫的網(wǎng)站漏洞的攻擊方式,比起2007年增長了134%。相應(yīng)地,應(yīng)對(duì)SQL注入攻擊,也需要進(jìn)行全面防御。
【編輯推薦】
【51CTO.com譯稿,非經(jīng)授權(quán)請勿轉(zhuǎn)載。合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com,且不得修改原文內(nèi)容。】
原文:Database Servers: Candy For Hackers 作者:Ericka Chickowski
